El próximo 25 de mayo entrará en vigor el Reglamento General de Protección de Datos (GDPR) que fue finalmente aprobado por el Parlamento europeo el pasado 2016 después de varios debates. Desde esta fecha, las organizaciones y empresas en situación de incumplimiento pueden enfrentarse a importantes multas. La aplicación del GDPR reemplazará la Directiva de Protección de Datos 95/46/EC actual que fue diseñada para garantizar las leyes de privacidad de datos de todos los ciudadanos de la Unión europea.
¿A quién afectará el GDPR?
El GDPR aplicará a organizaciones y empresas europeas y también aquellas que están ubicadas fuera y que ofrecen bienes y servicios en la UE. El reglamento afectará a cualquier actividad empresarial que actúe y procese con datos personales de contactos que residen en la Unión Europea, independientemente de su ubicación.
¿Qué se considera dato personal?
Cualquier información relacionada con una persona física o ‘sujeto de datos’, que se puede utilizar para identificar directa o indirectamente a la persona. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web, en redes sociales, información médica o una dirección IP de un ordenador.
Sanciones por incumplimiento de protección de datos
Las organizaciones pueden recibir multas de hasta el 4% de la facturación global anual por infringir el GDPR hasta un máximo de 20 millones de euros. Ésta última podrá imponerse a las infracciones más graves, aquellas que no dispongan del consentimiento del cliente para procesar sus datos. Las empresas podrían recibir una multa por:
* No tener sus registros en orden
* No notificar a la autoridad supervisora
* No explicitar al cliente su autorización
* No llevar a cabo una evaluación de impacto
Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las ‘nubes’ no estarán exentas de la aplicación de GDPR.
Uso de datos de menores de 16 años
Para procesar datos personales de niños menores de 16 años se requerirá el consentimiento de los padres. Cada país podrá determinar la edad límite, que nunca podrá ser inferior a los 13 años.
Empresas que deben tener un experto DPO
Los Oficiales de Protección de Datos (DPO) son perfiles necesarios para las siguientes empresas y organizaciones:
1. Organizaciones públicas
2. Organizaciones que participan en el monitoreo sistemático a gran escala
3. Organizaciones que participan en el procesamiento a gran escala de datos personales confidenciales
No sería necesario para aquellas empresas que no responden a ninguna de estas categorías.
¿Qué tendrán que hacer las empresas para adaptarse a la nueva normativa?
A partir de la fecha, las empresas deberán asegurar que todos los datos personales que manejan están protegidos y, además, obtener un permiso explícito de trabajadores y clientes de cómo y por qué se pueden utilizar. La adaptación será un trabajo laborioso ya que deberán pedir a todos los clientes, uno por uno, su consentimiento para utilizar los datos que tengan con fines comerciales.
El registro de las actividades internas
Hasta la fecha, era necesario dar de alta los ficheros de la compañía ante la Agencia Española de Protección de Datos (AEPD). No obstante, con el GDPR, esta obligatoriedad actual quedará sustituida por la necesidad de contar con un registro de actividades interno. Por lo tanto, se experimentará una mejora desde el punto de vista burocrático, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes.